تقرير ثغرات WordPress: أبريل 2021 ، الجزء 4
نشرت: 2021-04-28المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي هذا التقرير مكون WordPress الإضافي والسمات ونقاط الضعف الأساسية وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress. سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . تعتمد تصنيفات الخطورة على نظام تسجيل نقاط الضعف المشترك.
نقاط الضعف الأساسية في ووردبريس
تم إصدار WordPress 5.7.1 في 15 أبريل 2021. يتضمن إصدار الأمان والصيانة هذا 26 إصلاحًا للأخطاء بالإضافة إلى إصلاحين للأمان. نظرًا لأن هذا إصدار أمني من نواة WordPress ، فمن المستحسن أن تقوم بتحديث مواقعك على الفور!
نقاط الضعف في البرنامج المساعد WordPress
1. الأكورديون

الضعف : البرمجة النصية عبر المواقع المعكوسة المصادق عليها
مصححة في الإصدار : 2.2.30
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
2. RSS لـ Yandex Turbo

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 1.30.1
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L
3. إضافات Kaswara Modern VC
الثغرة الأمنية : تحميل ملف تعسفي غير مصدق
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
4. حماية نسخ محتوى WP & لا انقر بزر الماوس الأيمن

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : 3.4.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : 3.5.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
5. بريد التسويق الشرطي لـ WooCommerce

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : 1.6
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : 1.5.2
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
6. Captchinoo ، جوجل recaptcha لصفحة تسجيل دخول المسؤول
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
7. وضع الصيانة WP والموقع قيد الإنشاء
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
8. شجرة خريطة الموقع
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
9. حماية تسجيل الدخول - الحد من محاولات تسجيل الدخول الفاشلة
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
10. إحصائيات حركة الزوار في الوقت الحقيقي

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : 2.13.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : 2.12
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
11. تسجيل الدخول كمستخدم أو عميل

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : 2.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : 1.8.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
12. إعادة توجيه 404 إلى الأصل

الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.3.1
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
13. حدد كافة الفئات والتصنيفات
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.3.2
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
14. مدير ترخيص البرنامج

الضعف : CSRF إلى XSS المخزنة
مصححة في الإصدار : 4.4.6
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L
15. بائع السيارة - سيناريو الإعلانات المبوبة
الثغرة الأمنية : حقن SQL غير مصدق
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L
16. Store Locator Plus
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N
17. إضافات سعيدة لـ Elementor Free & Pro

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة
مصححة مجانية في الإصدار : 2.24.0
Pro Patched في الإصدار : 1.17.0
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
18. WP Fastest Cache

الثغرة الأمنية : حذف ملف تعسفي مصدق عليه عبر مسار اجتياز
مصححة في الإصدار : 0.9.1.7
درجة الخطورة : منخفضة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L
19. WPGraphQL
الضعف : رفض الخدمة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H
20. WooCommerce

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 5.2.0
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N
ثغرات ثغرات سمة WordPress
يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
احصل على iThemes Security Pro
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
